Business Associate Agreement for ShareFile (Japanese)

SHAREFILE
業務協力契約
本業務協力契約 (「BA 契約」) は、お客様 (「対象事業者」) と Citrix との間で締結されるエンド ユーザー サービス
契約 (「EUSA」) 第 5 条の条項に従い発効します。
対象事業者および Citrix は EUSA の当事者であり、EUSA に従い、Citrix は対象事業者に ShareFile サービス
を提供し、当該サービスに関連して、Citrix の関連会社である ShareFile LLC (「ShareFile」または「事業協力者」)
は、当該サービスを提供し、1996 年の医療保険携行可能性/執行責任法 (「HIPAA」) および経済的および臨床的健
全性のための医療情報技術法 (「HITECH Act」) に基づいて保護の対象となる対象事業者の患者に関する特定の保
護されるべき医療情報を、対象事業者のために、または対象事業者に代わって受領、使用、開示できます。当該業務
を理由として、両当事者は ShareFile が対象事業者の業務協力者であると信じます。対象事業者および業務協力者
は、対象事業者と業務協力者の関係に適用される HIPAA および HITECH Act の要件をあらゆる点で遵守すること
を求めます。対象事業者および業務協力者は、さらにまた、経済的および臨床的健全性のための医療情報技術法に
基づく HIPAA プライバシー、セキュリティ、執行、および違反の通知規則に対する修整および2013 年 1 月 25 日
に発表された遺伝情報差別禁止法を遵守することを求めます。
1. 定義。本 BA 契約で使用される条項は、別途定義しない限り、プライバシー規則またはセキュリティ規則に定め
る条項と同じ意味を持つものとします。
(a) 違反。「違反」とは、プライバシー規則により許容されない方法で保護されるべき医療情報の不正な取得、
アクセス、使用、または開示を行い、当該情報のセキュリティまたはプライバシーを侵害することを意味するものとしま
す。「違反」には以下は含まれません。
(i)
対象事業者または業務協力者の管轄下で作業する従業員または人員による保護されるべき医
療情報の故意でない取得、アクセス、または使用 (かかる取得、アクセス、または使用が誠意を
持って権限の範囲内で行われた状況において、プライバシー規則により許容されない方法で当
該情報がさらに使用または開示されることがない場合)
(ii)
保護されるべき医療情報へのアクセスが許可されている対象事業者または業務協力者の人員に
よる、保護されるべき医療情報へのアクセスが許可されている対象事業者または業務協力者の
別の人員への故意でない開示 (かかる開示の結果として受け取られた情報が、プライバシー規
則により許容されない方法でさらに使用または開示されることがない場合)
(iii)
対象事業者または業務協力者が、開示対象となった未許可の人員が合理的に考えて当該情報
を保持できていないと誠意を持って信じる場合における、保護されるべき医療情報の開示
上記の例外規定 (i) ~ (iii) で定められている場合を除き、プライバシー規則により許容されない方法での保護される
べき医療情報の取得、アクセス、使用、または開示は違反とみなされます。ただし、対象事業者または業務協力者が
少なくとも以下の要素についてリスク評価を行い、かかる評価に基づいて保護されるべき医療情報が侵害された可能
性は低いと規定どおりに実証した場合を除きます。
(i)
当該保護されるべき医療情報の性質および範囲 (識別要素の種類や再特定される可能性など)
(ii)
保護されるべき医療情報を使用した、またはその開示対象となった未許可の人員
(iii)
保護されるべき医療情報が実際に取得または閲覧されたかどうか
(iv)
保護されるべき医療情報に対するリスクがどの程度軽減されたか
(b)
保護されるべき医療電子情報。「保護されるべき医療電子情報」とは、電子メディア (セキュリティ規則を
参照) によって伝送される保護されるべき医療情報、または電子メディアに保持される保護されるべき医療情報を意味
するものとします。
(c)
プライバシー規則。「プライバシー規則」とは、45 CFR Part 160 および 164、Subpart A および E の
個人特定可能医療情報のプライバシー基準を意味するものとします。
(d)
保護されるべき医療情報。「保護されるべき医療情報」は、45 CFR Part 160.103 における用語「保護さ
れるべき医療情報」と同じ意味を持つものとし、業務協力者が対象事業者から、または対象事業者に代わって受け取
る情報に限定されるものとします。
(e)
長官。「長官」とは、保健社会福祉省長官、または当該長官から指名された人物を意味するものとしま
す。
(f)
セキュリティ インシデント。「セキュリティ インシデント」とは、情報に対する不正なアクセス、使用、開示、
変更、破棄や、保護されるべき医療情報へのアクセスを提供する情報システムにおけるシステム運用への干渉が試行
されること、またはそれに成功することを意味するものとします。
(g)
セキュリティ規則。「セキュリティ規則」とは、45 CFR Part 164、Subpart C の保護されるべき医療電子
情報の保護に関するセキュリティ基準を意味するものとします。
2.
業務協力者の義務および業務。業務協力者は以下に同意するものとします。
(a)
本 BA 契約により許容されているか義務付けられている場合、または法律により義務付けられている場
合を除き、保護されるべき医療情報を使用したり、さらに開示したりしない。
(b) 対象事業者に対するサービスを実施するために最低限必要な量の保護されるべき医療情報だけを使用、
開示、および要求する。
(c)
適切な保護対策を使用し、保護されるべき医療電子情報に関するセキュリティ規則を遵守して、本 BA
契約に従った方法以外で保護されるべき医療情報が使用または開示されることを防ぐ。
(d)
業務協力者が本 BA 契約またはプライバシー規則の要件に違反して保護されるべき医療情報を使用ま
たは開示した場合、業務協力者が把握しているその悪影響を可能な限り軽減する。
(e)
業務協力者が本 BA 契約に違反して保護されるべき医療情報を使用または開示したことを認識した場
合は (保護されるべき医療情報の安全対策違反やセキュリティ インシデントを含む)、その旨を対象事業者に報告す
る。本 BA 契約に基づくすべての報告義務について、両当事者は、業務協力者は対象事業者のアカウントに含まれ
る保護されるべき医療情報の性質を知らないため、業務協力者が、影響を受ける可能性のある個人の身元情報また
はセキュリティ インシデントまたは違反を被る可能性のある種類の情報の説明を提供できないことを了承する。
(f)
プライバシー規則およびセキュリティ規則に従って、対象事業者から受け取った保護されるべき医療情報、
または対象事業者に代わって業務協力者が受け取った保護されるべき医療情報の提供を受ける代理業者 (下請業
者を含む) が、業務協力者に適用されるものと同じ制約および条件に同意していることを確認する。
(g)
保護されるべき医療情報が指定のレコードセットに含まれる限りにおいて、45 CFR Part 164.524 (保護
されるべき医療情報への個人のアクセス) および 45 CFR Part 164.526 (保護されるべき医療情報の修正) により定
められている範囲、目的、および方法で保護されるべき医療情報を利用可能にし、45 CFR Part 164.526の規定どお
りに保護されるべき医療情報の修正を組み入れる。
(h)
業務協力者は、プライバシー規則に基づいて対象事業者の義務を履行する限りにおいて、当該義務の
履行時に対象事業者に適用されるプライバシー規則の要件を遵守する。
(i)
対象事業者がプライバシー規則またはセキュリティ規則を遵守しているかどうかを長官が判断できるよう
にするため、対象事業者から受け取った保護されるべき医療情報、または対象事業者に代わって業務協力者が受け
取った保護されるべき医療情報の使用および開示に関連する内部の対策、書類、および記録を長官が確認できるよう
にする。
(j)
45 CFR Part 164.528 (保護されるべき医療情報の開示理由の説明) に従って、対象事業者が保護され
るべき医療情報の開示理由の説明を個人から要求された場合に対応するために必要となる、保護されるべき医療情
報のかかる開示、およびかかる開示に関連する情報を文書化する。疑いを避けるため、対象事業者が求める場合、業
務協力者は 45 CFR Part 164.528 に従った開示理由の説明を提供するために必要な、業務協力者が認識している
情報を文書化し、対象事業者に提供する。業務協力者は対象事業者のアカウント内のどの個人を特定するのか、また
はどの種類の保護されるべき医療情報が対象事業者のアカウントに含まれるのかを直ちに特定できないため、対象事
業者は、開示された可能性のある対象事業者のデータに含まれる個人の特定 (存在する場合) および開示された保
護されるべき医療情報の簡潔な説明の提供について全責任を負う。
(k)
45 CFR Part 164.528 に従って、対象事業者が保護されるべき医療情報の開示理由の説明を個人から
要求された場合に対応できるように、本 BA 契約の第 2 条 (i) 項に従って収集した情報を、両当事者が合意したタ
イミングおよび方法で対象事業者に提供する。
3.
業務協力者による許可された使用および開示
(a) 使用および開示に関する一般条項。本 BA 契約の条項を条件とし、業務協力者は、対象事業者のために、
または対象事業者に代わって職務、業務、サービスを実施するため、保護されるべき医療情報を使用または開示する
ことができます。ただし、かかる使用または開示が対象事業者による使用または開示の場合のプライバシー規則に違
反しないことを条件とします。
(b) 使用および開示に関する具体的条項。業務協力者は、業務協力者の適切な管理のために (品質向上と
製品またはサービスのテスト、サポート、システムメンテナンスなどを目的として)、保護されるべき医療情報を使用また
は開示することができます。ただし、業務協力者が当該保護されるべき医療情報の開示を、(i) 法律により義務付けら
れている開示、または (ii) 当該情報を他に開示せず、法律により義務付けられている場合にのみ、またはその本来の
開示目的にのみ当該情報を使用し、さらに開示するという合理的な保証が得られる人員への開示に制限することを条
件とします。かかる人員は、当該情報の機密性が侵害されたと認識する事例が生じた場合は業務協力者に通知する
ものとします。
(c) 法令違反の報告。業務協力者は、45 CFR Part 164.502 (j) (1) に従って、該当する法令の違反を連邦当
局および州当局に報告するために、保護されるべき医療情報を使用することができます。
4.
対象事業者の義務。対象事業者は以下に同意するものとします。
(a)
プライバシー規則により義務付けられている対象事業者のプライバシー保護方法の通知に、対象事業者
は医療行為および支払いを目的として保護されるべき医療情報を開示できると定めた条項を含めていること、および
今後含めること。要請に応じて、対象事業者は業務協力者に、対象事業者のプライバシー保護方法の通知の写し、お
よび当該通知に対する変更を提供すること。
(b)
対象事業者のプライバシー保護方法における制限事項の通知を、当該制限事項が業務協力者による対
象事業者に対するサービスの実施や保護されるべき医療情報の使用または開示に影響する可能性がある限りにおい
て、業務協力者に提供していること。
(c)
業務協力者による対象事業者に対するサービスの実施や保護されるべき医療情報の使用または開示に
影響する可能性がある、個人による保護されるべき医療情報の使用または開示の同意、承認、了承、または許可の写
しを、業務協力者の合理的な要請に応じて提供すること。
(d)
業務協力者および対象事業者がそれぞれの義務を果たすため、および本 BA 契約に基づいて、対象事
業者に適用される法令により義務付けられている同意、承認、およびその他の許可 (必要な場合) を個人から得てい
ること、および今後得ること。
(e)
個人による保護されるべき医療情報の使用または開示の許可における変更、またはその取り消しがあっ
た場合は、かかる変更が業務協力者による対象事業者に対するサービスの実施や保護されるべき医療情報の使用ま
たは開示に影響する限りにおいて、かかる変更または取り消しの情報を業務協力者に提供すること。
(f)
45 CFR Part 164.530 に従って、対象事業者が指名したプライバシー担当者の氏名および連絡先情報
を、業務協力者の要請に応じて業務協力者に通知すること。
5.
対象事業者による許容可能な要求
前述の第 3 条 (b) 項において定められている場合を除き、対象事業者は、対象事業者が保護されるべき医療情報
を使用または開示する場合のプライバシー規則により許容されない方法で当該情報を使用または開示するように業務
協力者に要求しないものとします。
6.
期間と終了
期間
(a)
対象事業者は、本 BA 契約に対する重大な違反があった場合に本 BA 契約を終了する権利を有する
ものとします。ただし、かかる終了の前に、対象事業者は業務協力者に重大な違反の疑いがあることを
通知し、かかる重大な違反の疑いを是正する機会を与えるものとします。業務協力者が書面による通知
の受領後 30 日以内に重大な違反を是正できなかった場合、対象事業者は本 BA 契約を直ちに終了
することができます。
終了の効果
(b)
7.
(i)
本条の第 (ii) 項で定められている場合を除き、理由の如何を問わず、本 BA 契約の終了時に
は、業務協力者はプライバシー規則に従って、対象事業者から受け取ったすべての保護される
べき医療情報や、業務協力者が対象事業者に代わって作成または受領したすべての保護される
べき医療情報を返却または破棄するか、当該保護されるべき医療情報を特定されない形式に変
換するものとします。本項は、業務協力者の下請業者または代理業者が保有している保護される
べき医療情報にも適用されるものとします。業務協力者は、保護されるべき医療情報のコピーを
保持しないものとします。
(ii)
保護されるべき医療情報を返却または破棄できないと判断した場合、業務協力者は対象事業者
に、返却または破棄を実行できない原因を通知するものとします。業務協力者は、当該保護され
るべき医療情報を保持する限りにおいて、本 BA 契約の保護を延長して当該保護されるべき医
療情報に適用し、当該保護されるべき医療情報の今後の使用および開示を、返却または破棄を
実行できない原因となっている目的に制限するものとします。両当事者は、業務協力者が保護さ
れるべき医療情報のコピーを保持するように法律により義務付けられている限りにおいて、当該
保護されるべき医療情報の返却は実現できないとみなされるものとし、業務協力者は法律の定
めるところにより、当該保護されるべき医療情報を保持する権利を有するものとすることに同意し
ます。ただし、業務協力者は、法律上の目的にのみ、また法律により義務付けられている場合に
のみ、当該保護されるべき医療情報を使用または開示するものとします。本 BA 契約の第 6
条に基づく業務協力者のそれぞれの権利および義務は、本 BA 契約の終了後も存続するもの
とします。
その他
(a)
規制関連の参照。本 BA 契約におけるプライバシー規則またはセキュリティ規則の条項の参照は、有効
になっている条項または修正された条項、および遵守する必要がある条項を意味します。
(b)
修正。Citrix は、対象事業者または業務協力者が HIPAA、プライバシー規則、セキュリティ規則、また
は HITECH Act の要件を規定どおりに遵守するための必要に合わせて、本 BA 契約を随時更新するものとします。
(c)
解釈。本 BA 契約のあいまいさは、対象事業者または業務協力者が HIPAA、プライバシー規則、セ
キュリティ規則、または HITECH Act を規定どおりに遵守できるようにする意味を優先して解決されるものとします。
(d)
受益者の不在。本 BA 契約には、第三受益者 (保護されるべき医療情報の対象者である個人を含むが
これに限定されない) は存在しないものとします。
(e)
準拠法。本 BA 契約は EUSA の第 10 条に定めるアメリカ合衆国法に従って、適用および解釈される
ものとします。
(f)
統合。本 BA 契約は、EUSA に組み込まれるとおり、HIPAA、プライバシー規則、セキュリティ規則、お
よび HITECH Act に基づく義務に関連する当事者間の唯一の完全合意であり、本件に関して以前に行われた合意、
理解、およびやり取りのすべてに優先します。上記にかかわらず、EUSA は、当事者間のその他すべての条項 (提供
されるサービス、支払い義務、および基本契約と本 BA 契約の両方に関する責任の限定に関連する条項を含むがこ
れに限定されない) に適用されるものとします。
CTX_code: SF 9/13/13